Azure ADの基礎を解説 オンプレとの違いやライセンス選定のポイントとは

クラウドシフトに伴い、オンプレミスで用いられる「Active Directory」の機能をクラウドでも使いたいという要望は多い。Microsoftがクラウドサービスとして提供する「Azure Active Directory」はActive Directoryの代替サービスになるのか、はたまた別物のサービスなのか。Microsoftサービスの開発と導入の専門家が、前編と後編にわたって解説する。

[高橋睦美，キーマンズネット]

　多くの日本企業において、オンプレミスのクライアント管理で大きな役割を果たしてきたのがMicrosoftの「Active Directory」だろう。

　社内のユーザー情報やリソースの一元管理、グループポリシーに基づいた動作の制御、リモートアクセスしてきたユーザーの認証など、システム運用上の重要な役割を果たしてきた。その重要性から、サイバー攻撃者は侵入に成功するとまずActive Directoryを狙うのが常だという。

　ただ近年、多くのサービスがオンプレミスからIaaS（Infrastructure as a Service）、SaaS（Software as a Service）といったクラウドサービスへの移行が進んだ。テレワークが広がる中で、これまでのようにActive Directoryを使い続けられるかというと疑問が残る。

　そこで注目されているのが、Microsoftがクラウドサービスとして提供する「Azure Active Directory」（以下、Azure AD）だ。Azure ADは機能の拡張を続けているが、これまで使い慣れたActive Directoryとは機能面で差異があるのも事実だ。

内田洋行ITソリューションズ 大川貴志氏

　そこで、Azure ADを活用した開発に携わり、2020年からMicrosoftより「Microsoft MVP Award」の「Microsoft MVP Office Development」を受賞した内田洋行ITソリューションズの大川貴志氏に開発するエンジニア目線の話を聞いた。

内田洋行 永山達也氏

　また、長年にわたり自治体、教育委員会のITシステム構築・運用サービスの提供に携わり、直近では埼玉県鴻巣市教育委員会の教育ICT基盤のフルクラウド化やAzure AD導入などを担当した内田洋行の永山達也氏に、導入するエンジニア目線の話を聞いた。

　前編となる本記事ではActive DirectoryとAzure ADの違いやライセンス選定のポイントを、後編ではAzure ADの強力な機能やオンプレミスからの移行ポイント、運用負荷を減らすコツを解説する。

安全なクラウド認証で求められるAzure AD

　2013年にAzure ADが発表され、それから10年近く「Microsoft Azure」や「Microsoft 365」といったクラウドサービスとともに活用されてきたが、昨今のコロナ禍で採用が加速しているという。

　「オンプレミスのActive Directoryのユーザー認証ですと、まず社内ネットワークにアクセスする必要があります。主な手段はVPNですが、そのVPNに脆弱（ぜいじゃく）性が発見される事態もあり、Azure ADを用いてクラウド上で多要素認証を用いたユーザー認証をすることも一つの選択肢として盛んになっています」（永山氏）

　加えてAzure ADは、SAML（Security Assertion Markup Language）をはじめとする技術で、「Salesforce」などMicrosoft 365以外のさまざまなSaaSと連携してシングルサインオンをできる。

　一度認証すれば、別のクラウドサービスを利用するたびにIDとパスワードを入力する必要がないため、ユーザーにとって利便性があり、クラウド普及に伴って需要が高まっている。永山氏が導入を支援した団体ではAzure ADとファイル転送システムを連携させている。

慣れ親しんできたActive DirectoryとAzure ADの大きな違い

　Azure ADはオンプレミスではなくインターネット上にあり、インターネットに接続しなければ利用できないという根本的な違いがあるが、システム運用者にとってはもっと重要なポイントがある。

　「Active Directoryではユーザー管理の他、グループポリシーに基づく制御や端末管理もできますが、Azure ADはシンプルにユーザーのログインを管理する機能しか持っていません。そこは大きな違いであり、誤解の多い部分です」（永山氏）

　例えば、Active Directoryのドメインコントローラーが担っていた端末制御をしようとすると、「Intune」「Microsoft Endpoint Manager」といった他のツールを組み合わせる必要がある。

　端末のログインスクリプト実行やデスクトップ背景設定など、ローカルのファイルサーバと連携する必要のある制御もAzure AD単体では実現できず、「自社で何を実現したいのか」と照らし合わせ、できることとできないことを確認する必要がある。

　ただ永山氏は、「この1〜2年でIntuneの機能が随時追加されており、今まではグループポリシーでしかできなかった機能も追加されています。オンプレミスの機能にどんどん追い付いている印象があります」とも述べた。

Azure ADのライセンス体系解説　どれを選択すべき？

　MicrosoftがWebサイトで紹介している通り、Azure ADにはいくつかのライセンス体系がある。無償の「Azure Active Directory Free」の他、Microsoft 365のサブスクリプションに含まれる無償版がある。一方で、1ユーザー当たり月額650円の「Azure Active Directory Premium P1」（以下、P1）、同980円の「Azure Active Directory Premium P2」（以下、P2）といったプレミアムプランがある。

ライセンス体系一覧（出典：MicrosoftのHP）

無償版と有償版の比較

　Microsoft 365を使う、あるいは「Dynamic 365」や「Power Platform」といったMicrosoftのサービスを利用する場合に、付随する無償版を使うことはあるが、無償版だけを目的に導入するケースは少ないそうだ。

　Azure ADを利用した社内システムの開発を担当する大川氏は、「個人レベルで多要素認証やパスワードレス認証を使いたいのであれば、無償版でも利用に耐えうると思います。ただし、リモートワークで必須な条件付きアクセスをするとなるとフリー版では機能が足りず、P1以上が必要になるでしょう」と述べる。

　SLA（Service Level Agreement）の有無に加え、「特定の場所からアクセスする場合、多要素認証は不要だが、それ以外の場所からのアクセスならば多要素認証を必須にする」といった具合に、条件付きアクセスを用いてより厳密なアクセス制御を実現するには、必然的にP1を選択することになる。Microsoft Intuneと組み合わせてデバイス管理を実現したい場合もP1以上が必要だ。

　何より、場所や境界に頼らずにセキュリティを実現していく「ゼロトラスト」につながる管理を目指す場合には、P1以上のプレミアムプランが必須になるだろうと大川氏は説明した。

　ゼロトラストでは、アクセスのたびにそのユーザーやデバイスが適切なものかどうかを確認した上で接続を許可する。多要素認証をはじめとした強固な認証手段を提供するプレミアムプランの機能は、重要な要素の一つと言えるだろう。

有償版の「Premium P1」と「Premium P2」の比較

　ではP1とP2の違いは何だろうか。P2では、AI（人工知能）やML（機械学習）を活用してユーザーの振る舞いを解析し、普段とは異なる危険なサインイン、危険なユーザーを検出する機能を備えている。

　グローバルIPアドレスやジオロケーション情報などを分析し、一例として日本国内からアクセスしてきた5分後に地球の裏側から同じIDを用いたアクセス試行があれば、物理的に不可能なリスクの高いアクセスと判断し警告を発したり、追加の認証を求めたりすることができる。

　従って、金融サービスなど高いセキュリティが求められる環境ではP2の採用が増えている。ただ、一般的な企業での導入となるとよく検討する必要があるという。P2のアラートが上がるたびに精査し、対処する運用体制を整えられなければ意味がないからだ。

　事実、永山氏も、「自治体のお客さま向けにPCをキッティングし、テストのために弊社の営業所からお客さま側の端末にログインしたところ、アラートが上がったことがありました。お客さまから『何か変な状況になっている』と言われて調べてみたら、『ああ、リモートログインの影響だったのか』という落ちでした」と振り返る。

　アラートを受けてセキュリティ意識が向上するという意味で効果はあるが、過検知への対応を織り込んで自社で解析・運用し、あるいはSOC（Security Operation Center）機能を外部のサービスプロバイダーに委託できる体制を整えなければ、せっかくP2を導入しても宝の持ち腐れになる恐れがある。その点を見極めた上で選択すべきだと、永山氏は指摘する。

　Azure AD解説の前編となる本記事では、Active DirectoryとAzure ADの違いやライセンス選定のポイントについて解説した。

　後編「Azure ADの導入と運用のコツを解説　移行でボトルネックとなるポイントとは？」ではAzure ADの強力な機能やオンプレミスからの移行ポイント、運用負荷を減らすコツを解説する。

大川貴志（内田洋行ITソリューションズ　システム開発本部　ATD プロダクト企画課）

2020年よりMicrosoft MVP Office Developmentを受賞。Microsoft Graph を利用した社内システムの改善や、Microsoft AzureのPaaSを活用した各種ソリューションの設計や構築、開発を担当。主に、新技術の検証や新規サービスの開発、案件のAzure導入のサポートなどを担当する。

永山達也（内田洋行 システムズエンジニアリング事業部）

自治体や教育委員会におけるシステム構築のプロジェクトマネジメントを担当。運用や使用感を考慮した、クラウドやネットワーク、サーバなどITインフラ基盤の構築や、Microsoftソリューションを活用したゼロトラストセキュリティの設計や構築を得意とする。